【学习园地】攻防演练庙算记之一——五事具足

点击上方"蓝字"

关注我们吧！

《孙子兵法》开篇即是“战略观”，并用“五事”说明了在所有对抗中的要素：一曰道，二曰天，三曰地，四曰将，五曰法。

道者，令民与上同意也，故可以与之死，可以与之生，而不畏危。

天者，阴阳、寒暑、时制也。

地者，高下、远近、险易、广狭、死生也。

将者，智、信、仁、勇、严也。

法者，曲制、官道、主用也。

事实上，发生在网络空间的“攻防演练”亦是如此，胜利的意志、对业务系统的了解、安全设备部署的方案、人员团队、方法策略缺一不可。

本期为【2023安天攻防演练庙算记】第一记：五事具足，将分享依托安天防御框架（ISPDR）形成先进、完善的攻防演练服务框架和安全产品生态体系，如何有效支撑客户开展新形势下的攻防演练活动。

“道者”，是明确网络安全实战攻防演练的目的并达成的一致认知：发现系统漏洞、检验防护策略、锻炼应急能力和构筑防御体系。根据当前网空威胁和防御的发展现状，防御没有“银弹”，没有单一技术或者单一种安全框架可以解决所有的问题，因此在整体网空防御安全体系化建设中，需要进行不断地的叠加演进、体系化的建设安全防御保障，从而适应发展的需要。

安天将威胁对抗经验与安全规划需求进行整合，基于防御关键动作的概念，于2020年提出安天防御框架（ISPDR）^{^[1]}，包括5个部分：

1. 识别：是网络安全管理的基础；

2. 塑造：是建立防御主动性的前提；

3. 防护：是系统对威胁做出的行为反应；

4. 检测：是发现、定位和定性网络安全威胁的方法；

5. 响应：是处置、管理风险和威胁事件的过程。

图1 安天防御框架

安天提出，“塑造”是防御动作的关键环节，它突出的是安全参与IT规划整个生命周期的过程性，强调IT的可塑性能够在一定程度上带来防御的主动性。也就是说，我们需要把整个安全基因的能力沉浸式嵌入到数字化系统中，这样在后期的威胁对抗与安全应用中，才能更好的实现积极防御能力，使我们在和对手对抗中获得一个更优势的地位。

“天者”，是以基础安全产品为能力支撑，覆盖攻防演练活动的启动、备战、迎战、总结等所有环节，提供质量有保障、流程标准化、成果高价值的全生命周期的安全防护服务。

安天安全服务依托于安天防御框架（ISPDR），系统映射在演练活动的各个阶段，全面满足在攻防演练活动中场景、事件与人员的相关需求。

“地者”，是安天充分发挥下一代威胁检测引擎和安全内核的基础优势，自主研发了可覆盖信息安全领域全场景的安全产品生态体系，为攻防演练活动中防守服务的落地实施提供了更直接的有效支撑。终端防护、云主机、流量检测、威胁分析、威胁捕获、边界防护、防病毒网关等安天多款产品可实现威胁情报协同共享，有效拓宽防御覆盖面与纵深，共同发现和阻断攻击。

“将者”，乃是攻防演练的队伍，安天基于近23年的应急响应支撑工作经验，以及多年的安全服务、技术、人才和产品的积淀，形成了先进、完善的攻防演练服务框架。

图2 安天攻防演练防守服务概览

安天从2016年开始连续多年参与国家级攻防演练行动，协助70余个国家部委、能源电力、交通运输、金融、大型国企等客户单位圆满完成了防守保障任务，并收到了专项感谢信。在攻防演练活动中，安天通过以下优势为客户持续赋能安全价值：

1. 基于近23年对网络空间攻防对抗的深入研究，以及多年大型攻防演练的实战积淀，对网络安全事件的预防、监控、处置与溯源，有着成熟先进的方法体系；

2. 建立了完善的动态综合防御体系，利用专业的监控平台、边界防护设备、终端防护软件、威胁情报及处置分析工具，形成覆盖“边界侧+端点侧+网络流量侧”的全方位监测能力；

3. 基于“人机共智”的服务理念，结合专业的安全产品，从检测发现、加固整改、整体布防、安全监测、应急响应及云端检测，可支撑攻防演练活动全生命周期的各个环节防守任务，能整体把控安全态势；

4. 拥有丰富实战经验的服务团队，能够最大可能的为不同行业客户保驾护航。

最后，所谓“法者”，是主用，也是最具体的一环，【安天攻防演练庙算记】最独特的就是在攻防演练的各个环节对应了安天防御框架（ISPDR），也就是“道”，为客户从启动、准备、迎战、总结的全生命周期防守提供了闭环方法指导。

1. 启动阶段

对应 “识别”部分。

深入了解客户的业务系统和工作场景，通过安天可扩展威胁检测响应平台XDR（简称：安天XDR）进行自动化资产梳理和网络安全防护现状调研，协助客户建立健全的攻防演练组织和管理规划，明确演练期间的各项工作机制，向所有相关责任人宣贯攻防演练的重要性和工作部署方案。

同时，对客户的网络安全架构进行评估，并及时制定优化方案。

2. 准备阶段

对应 “塑造”与“防护”部分。

首先，组织专项团队为客户提供脆弱性检测服务，检测方法包括基线检查、漏洞扫描、渗透测试等，并附带提供威胁检测与处置服务。同时，可以通过安天XDR实现漏洞的全生命周期管理，例如漏洞的导入、匹配和监测等；也可以运用安天XDR导入漏扫结果或者通过流量被动发现来实现弱口令的管理。

然后，及时对脆弱性关联的资产进行全方位的安全加固，同时依据安全现状进行演练常见的安全防守策略调优。

在演练活动临近时，内部组织多场景的攻防演练预演，以此验证安全加固和优化工作的有效性，以及各项工作机制的可操作性。

此外，将同步为客户提供安全意识、安全攻防技术等安全培训，全面提升相关人员的安全意识和防护水平。

最后，在演练活动正式开始前，协同用户制定演练期间的值守方案，确保值守方案可有效落地执行。

3. 迎战阶段

安天将基于自身的威胁情报分析平台和威胁捕获系统为用户提供威胁情报服务，协助用户全方位掌握演练期间的攻击相关威胁情报。同时，利用自研安全产品和用户已有的第三方安全产品，为用户提供 7×24 小时的安全监测值守服务，以及支撑威胁情报、邮件安全、网站安全、网络边界、终端威胁、威胁诱捕及靶标安全等七大关键场景防护的专项服务。

在监测值守期间，组织专项团队对安全告警和威胁情报等进行分析确认，结合安天XDR，可对接主流安全平台收集告警与日志，进行关联分析，从而对攻击画像展开描述；可联动安天探海，进行流量包深度分析等，对证据进行留存。同时，工单系统在迎战过程中全程跟进，对各项操作性任务进行备档追踪。在确认发现安全事件时，如防线被攻方团队攻破、信息破坏事件（篡改、泄露、窃取、丢失等）、大规模病毒事件、网站漏洞事件等，安天将及时提供应急处置服务，并协调相关资源进行追踪溯源，协助用户撰写防守成果报告，报送给相关单位，获得加分。

4. 总结阶段

对应 “塑造”部分，形成闭环。

演练活动结束后，将对演练期间攻击成功的事件和防守成功的事件等相关情况，进行详细的全过程复盘与总结。同时，根据演练过程中暴露的安全问题和流程问题，为客户提供针对性的解决措施和建议，并协助用户完善安全防御机制，优化安全防护体系。

最后，安天还将为客户提供具有针对性的专项技能培训服务，协助客户培养符合自身网络安全安全要求的人才体系。

附录：产品介绍

安天充分发挥下一代威胁检测引擎和安全内核的基础优势，自主研发了可覆盖信息安全领域全场景的安全产品生态体系，为攻防演练防守任务的落地与实施提供了更直接、更便捷、更有效的安全实战支撑。安天多款产品可实现威胁情报协同共享，有效拓宽防御覆盖面与纵深，共同发现和阻断攻击。

安天可扩展威胁检测响应平台XDR可支撑提升在攻防演练活动中整体防守工作的效率。

2023年安天产品攻防演练防守实战价值表节选
防护类别	安全产品	产品价值
威胁统一监控与处置	安天可扩展威胁检测响应平台XDR（安天XDR）	安天XDR是通过平台化整合对接端、网等安全产品，采集遥测数据进行深度关联分析，实现对网内威胁的智能发现，并还原攻击事件，帮助用户高效完成调查处置的统一的安全运营系统。在攻防演练实战场景中，平台能够满足对网内威胁的集中监控，并通过安全数据的智能关联分析和多设备联动处置，提高威胁发现和预警能力、提升威胁处置效率。